Erkennung von wurmfähiger RCE-Schwachstelle (CVE-2021-31166) in Windows HTTP.sys
Inhaltsverzeichnis:
Microsoft hat kürzlich einen hochkritischen Fehler (CVE-2021-31166) behoben, der die Ausführung von Code mit Kernel-Rechten auf Maschinen ermöglicht, die Windows 10 und Windows Server ausführen. Der Anbieter warnt, dass dieser Fehler würmisch ist und sich selbst über mehrere Server im Unternehmensnetzwerk ausbreiten könnte, um maximalen Schaden zu verursachen. Der Proof of Concept (PoC)-Exploit wurde bereits veröffentlicht, was Kriminelle dazu motiviert, die Schwachstelle für Angriffe auszunutzen.
CVE-2021-31166 Beschreibung
Das Problem liegt im HTTP Protokollstapel (HTTP.sys), einem wichtigen Dienstprogramm, das Windows Internet Information Services (IIS) Webservern hilft, HTTP-Anfragen zu verarbeiten. Falls ausgenutzt, ermöglicht der Fehler nicht authentifizierten Akteuren, speziell gestaltete Pakete an einen anfälligen Server zu senden und willkürliche Codeausführungen direkt im Windows OS-Kernel auszulösen. Darüber hinaus könnte der Fehler genutzt werden, um einen nicht authentifizierten Remote-Denial-of-Service (DoS)-Angriff zu starten, der auf den betroffenen Geräten den Blue Screen of Death verursacht. Noch schlimmer ist, dass CVE-2021-31166 ein würmischer Fehler ist, der die Erstellung von Netzwerkwürmern ermöglicht, die sich über andere Dienste ausbreiten, die zunächst nicht von der Intrusion betroffen sind.
Am 15. Mai 2021 Sicherheitsforscher Alex Souchet veröffentlichten einen Proof of Konzept (PoC)-Exploit für diesen Fehler. Obwohl ein öffentlicher PoC die Wurmfunktionen nicht enthält, zeigt er eine einfache Methode, um betroffene Windows-Installationen zu blockieren, falls ein IIS-Server ausgeführt wird. Derzeit gibt es keinen Beweis dafür, dass das HTTP.sys-Problem jemals in freier Wildbahn ausgenutzt wurde. Doch die Existenz des PoCs würde definitiv Gegner dazu motivieren, dieses Sicherheitsloch gegen exponierte Windows IIS-Server auszunutzen.
Der einzige Faktor, der die möglichen zerstörerischen Konsequenzen irgendwie begrenzt, ist, dass der Fehler nur in neueren Windows-Versionen existiert, einschließlich Windows 10 2004/20H2 und Windows Server 2004/20H2, die im letzten Jahr veröffentlicht wurden.
Zunächst wurde angenommen, dass der Fehler nur Maschinen betrifft, die IIS-Server ausführen, jedoch haben die Forscher Jim DeVries festgestellt out dass auch WinRM-Dienste betroffen sind. Da WinRM standardmäßig auf allen Windows-Servern aktiviert ist, die Versionen 2004/20H2 ausführen, sind derzeit mehrere Firmennetzwerke der Gefahr einer Intrusion ausgesetzt.
CVE-2021-31166 Erkennung und Minderung
The Fehler wurde von Microsoft während seiner Patch Tuesday-Veröffentlichung im Mai 2021 behoben. Der Anbieter fordert alle Nutzer, die anfällige Installationen betreiben, dringend auf, so schnell wie möglich auf eine sichere Version zu aktualisieren.
Um Ihre Unternehmensinfrastruktur vor möglichen Angriffen mit CVE-2021-31166 zu schützen, können Sie eine von dem SOC Prime Team bereits veröffentlichte Sigma-Regel im Threat Detection Marketplace herunterladen:
https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye
MITRE ATT&CK:
Taktiken: Auswirkung
Techniken: Netzwerk-Denial-of-Service (T1498)
Abonnieren Sie den Threat Detection Marketplace, eine weltweit führende Detection-as-Code-Plattform, die den vollständigen CI/CD-Workflow von Erkennungsprozessen ermöglicht. Unsere SOC-Inhaltsbibliothek aggregiert über 100.000 Erkennungsalgorithmen und Bedrohungssuchanfragen, die direkt auf CVE und MITRE ATT&CK®-Frameworks abgebildet sind. Die Erkennungen basieren auf der Sigma-Sprache, die sicherstellt, dass alle Regeln leicht in 23 marktführende SIEM-, EDR- und NTDR-Technologien konvertierbar sind, um dem XDR-Stack der Organisation zu entsprechen. Möchten Sie an Bedrohungssuchaktivitäten teilnehmen und Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty Program bei!
